Mauvaise nouvelle : Bercy autorise l’indemnisation des entreprises victimes d’un ransomware

Bercy a mis en ligne un rapport dans lequel il est mentionné que les assurances cyber peuvent rembourser les rançons demandées dans le cadre des cyberattaques. Une décision à la fois surprenante et décevante !

Dans le cas où une entreprise est victime d'un ransomware, quelle doit payer une rançon pour - peut être - récupérer ses données, et qu'elle dépose plainte, le Ministère de l'Économie autorise à ce que l'assurance cyber de cette entreprise rembourse la rançon en guise d'indemnisation. J'insiste sur le fait que Bercy propose de "conditionner l’indemnisation d’une assurance cyber-rançons au dépôt de plainte de la victime". Le fait qu'il y a ait une plainte permettra de renforcer l'accompagnement de l'entreprise victime, mais aussi d'avoir connaissance de cette attaque informatique.

Cette décision va beaucoup faire parler, car elle va à l'encontre de l'avis de l'ANSSI et de différents experts de la cybersécurité. C'est normal, car en payant les rançons, on encourage les cybercriminels à continuer, en plus de participer au financement de leurs activités malveillantes. D'ailleurs, c'est étonnant, mais dans le rapport de Bercy il y a un paragraphe qui fait référence aux recommandations de l'ANSSI que l'on peut lire dans le guide "Attaques par rançongiciels, tous concernés" : "Le paiement ne garantit pas l’obtention d’un moyen de déchiffrement, incite les cybercriminels à poursuivre leurs activités, entretient ce système frauduleux, est susceptible de contribuer au financement du terrorisme".

Au-delà de financer les activités des cybercriminels, cette décision va également faire les affaires des assurances puisque les entreprises vont probablement souscrire à un contrat de ce type dans le but d'être indemnisées en cas de cyberattaque. Toutefois, cette indemnisation éventuelle de la part de l'assurance peut agir comme un filet de sécurité aux yeux des entreprises, ce qui va peut-être freiner les investissements sur le plan de la cybersécurité.

Personnellement, je pense que les entreprises devraient déjà investir pour améliorer la sécurité de leur système d'information et sensibiliser leurs salariés, avant de compter sur une assurance. L'indemnisation en cas d'une attaque c'est une chose, mais l'argent ne permettra pas à l'entreprise de se racheter une réputation, et au final, elle devra aussi revoir son système d'information dans le but de le sécuriser. Et puis, les cybercriminels ne sont pas bêtes : si vous payez une fois la rançon, ils auront envie de revenir frapper à votre porte avec une seconde attaque pour vous faire payer une seconde fois.

Le rapport est disponible ici. N'hésitez pas à partager votre avis sur cette décision.